BBCA統(tǒng)一權(quán)限管理系統(tǒng)設(shè)計(jì)方案

1、BBCA統(tǒng)一權(quán)限管理系統(tǒng)設(shè)計(jì)方案項(xiàng)目名稱：_承建單位：_管理單位：_意見簽署頁需求確認(rèn)欄用戶單位負(fù)責(zé)人日期：用戶單位聯(lián)絡(luò)人日期：承建單位項(xiàng)目負(fù)責(zé)人日期：1.1概述權(quán)限管理是應(yīng)用系統(tǒng)中不可缺少的一部分，通常的做法是每開發(fā)一個(gè)系統(tǒng)都要將這 部分功能作為一個(gè)模塊來開發(fā)，一般要開發(fā)過程包含以下幾個(gè)步驟：1.在數(shù)據(jù)庫中建立用戶和權(quán)限相關(guān)的表結(jié)構(gòu)2.開發(fā)用戶、角色、權(quán)限管理等的功能模塊3.為系統(tǒng)的每個(gè)功能加入獲取和判斷權(quán)限的方法其實(shí)在不同的應(yīng)用系統(tǒng)中，這些功能基本上都是一樣的，每個(gè)系統(tǒng)都要加入這些大 同小異的功能無疑會(huì)帶來相當(dāng)多的重復(fù)性工作， 浪費(fèi)我們不少寶貴時(shí)間。雖然將這些功 能模塊化能減輕一些工作，但

2、由于每個(gè)系統(tǒng)采用的開發(fā)環(huán)境不同 （如有些系統(tǒng)采用.net 技術(shù)，有些用J2EE技術(shù)），或者雖然采用的開發(fā)技術(shù)相同，但采用的框架也可能存在差 異（如在J2EE技術(shù)下有的采用Hibernate，有的采用IBATIS或者直接調(diào)用JDBC等）， 造成將這些權(quán)限模塊移植到不同的應(yīng)用系統(tǒng)時(shí)還是需要對代碼進(jìn)行相當(dāng)繁瑣的修改。1.2目標(biāo)為了提高功能的可復(fù)用性，結(jié)合公司以往的成功項(xiàng)目經(jīng)驗(yàn)，通過統(tǒng)一的系統(tǒng)規(guī)劃和 系統(tǒng)設(shè)計(jì)，開發(fā)一套通用的權(quán)限管理系統(tǒng)，將用戶管理、權(quán)限管理及單點(diǎn)登錄功能都集 成到該系統(tǒng)中。該系統(tǒng)主要解決后期新開發(fā)的應(yīng)用系統(tǒng)無需重新開發(fā)權(quán)限管理模塊的工作，不管新開發(fā)的應(yīng)用系統(tǒng)采用的是什么開發(fā)環(huán)境，都可

3、以通過WebService方法來調(diào)用權(quán)限管理系統(tǒng)提供的權(quán)限認(rèn)證服務(wù)， 而且還可以實(shí)現(xiàn)用戶一次登錄、 網(wǎng)內(nèi)通用，避免 每進(jìn)入一個(gè)系統(tǒng)都要重復(fù)登錄的情況。 此外，可以對區(qū)域內(nèi)各信息應(yīng)用系統(tǒng)的權(quán)限分配 和權(quán)限變更進(jìn)行有效的統(tǒng)一化管理，實(shí)現(xiàn)多層次統(tǒng)一授權(quán)，審計(jì)各種權(quán)限的使用情況， 防止信息共享后的權(quán)限濫用，規(guī)范今后的應(yīng)用系統(tǒng)的建設(shè)。本文提供一種集成功能權(quán)限和數(shù)據(jù)權(quán)限的解決方法，以滿足多層次組織中權(quán)限管理 方面的集中控制。本方法主要是基于 RBAC（角色的訪問控制方法）的進(jìn)一步擴(kuò)展和延 伸，即在功能權(quán)限的基礎(chǔ)上增加數(shù)據(jù)權(quán)限的管理， 實(shí)現(xiàn)數(shù)據(jù)權(quán)限和功能權(quán)限的集中處理。1.3術(shù)語-功能權(quán)限系統(tǒng)的所有權(quán)限信息

4、。權(quán)限具有上下級關(guān)系，是一個(gè)樹狀的結(jié)構(gòu)。如下圖:對于上面的每個(gè)權(quán)限，又存在兩種情況，一個(gè)是只可訪問，另一種是可授權(quán)， 例如對于“查看用戶”這個(gè)權(quán)限，如果用戶只被授予“可訪問”，那么他就不能將他所具有的這個(gè)權(quán)限分配給其他人。-數(shù)據(jù)權(quán)限權(quán)限所能管理的資源，比如管理哪個(gè)部門。-用戶應(yīng)用系統(tǒng)的具體操作者，用戶可以自己擁有權(quán)限信息，可以歸屬于0n個(gè)角色，可屬于0n個(gè)組。他的權(quán)限集是自身具有的權(quán)限、所屬的各角色具有的權(quán)限、 所屬的各組具有的權(quán)限的合集。它與權(quán)限、角色、組之間的關(guān)系都是n對n的關(guān)系。-角色為了對許多擁有相似權(quán)限的用戶進(jìn)行分類管理，定義了角色的概念，例如系統(tǒng) 管理員、管理員、用戶、訪客等角色。

5、I系統(tǒng)管理圖表1:功能權(quán)限的樹狀關(guān)系1.4參考資料序號文檔名稱作者發(fā)布日期1234第2章總體設(shè)計(jì)2.1運(yùn)行環(huán)境-操作系統(tǒng)：Windows系列操作系統(tǒng)和Linux系列操作系統(tǒng)。-網(wǎng)絡(luò)結(jié)構(gòu)：通用權(quán)限管理系統(tǒng)采用 B/S架構(gòu)實(shí)現(xiàn)，可以在桌面應(yīng)用和 Web應(yīng)用 系統(tǒng)中通過 WebService進(jìn)行調(diào)用。2.2設(shè)計(jì)思路權(quán)限管理系統(tǒng)的設(shè)計(jì)結(jié)合以往公司的成功項(xiàng)目經(jīng)驗(yàn)與當(dāng)前技術(shù)快速發(fā)展?fàn)顩r，以服務(wù)為中心，根據(jù)業(yè)務(wù)需求發(fā)現(xiàn)服務(wù)、描述服務(wù)并設(shè)計(jì)服務(wù)的實(shí)現(xiàn)。主要從以下幾方面著 手：1.獨(dú)立性：-物理上獨(dú)立：與各應(yīng)用系統(tǒng)之間在物理上（部署時(shí)）相對獨(dú)立（出于網(wǎng) 絡(luò)性能考慮，可以部署在相同網(wǎng)絡(luò)中或部署到多個(gè)節(jié)點(diǎn)上以達(dá)到集

6、群）。-數(shù)據(jù)獨(dú)立：用戶和權(quán)限數(shù)據(jù)存儲(chǔ)在權(quán)限管理系統(tǒng)的數(shù)據(jù)庫中，不同于應(yīng) 用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)。常 技術(shù)獨(dú)立：以WebService服務(wù)方式提供接口，保證技術(shù)實(shí)現(xiàn)上與應(yīng)用 系統(tǒng)技術(shù)獨(dú)立（J2EE .NET程序都可通用）。人事管理系統(tǒng)一卡通系統(tǒng)科研管理系統(tǒng)圖表2.1 :權(quán)限管理系統(tǒng)與各應(yīng)用系統(tǒng)的關(guān)系圖2.統(tǒng)一管理：各應(yīng)用系統(tǒng)的用戶和權(quán)限由權(quán)限管理系統(tǒng)統(tǒng)一管理，物理上權(quán)限管理系統(tǒng)與各應(yīng)用系統(tǒng)相對獨(dú)立，但邏輯上集中統(tǒng)一管理。3.安全性：基于DES加密機(jī)制，使數(shù)據(jù)在傳輸與存儲(chǔ)上更安全與完整。4.松耦合：以服務(wù)的方式與應(yīng)用系統(tǒng)整合，通過 WebService請求獲取權(quán)限列表。5.通用性：適合一般應(yīng)用系統(tǒng)

7、管理授權(quán)的要求， 整合了其它項(xiàng)目的以往成功經(jīng)驗(yàn)。6.基于角色的策略：將用戶與訪問權(quán)限分離，基于角色的策略更能實(shí)現(xiàn)以職責(zé)為 中心的管理原則。同時(shí)既可滿足集中管理，也可滿足分散管理的目標(biāo)權(quán)限管理。亠集中管理：由系統(tǒng)管理員對所有崗位的進(jìn)行全面和具體的職責(zé)分工，用戶權(quán)限按職責(zé)角色作出標(biāo)準(zhǔn)細(xì)致的劃分，以達(dá)到集中管理。分散管理：系統(tǒng)管理員為下級管理員設(shè)置部分權(quán)限，并交由下級管理員在其部分權(quán)限范圍內(nèi)進(jìn)行細(xì)化各崗位權(quán)限，避免權(quán)限的漏洞，達(dá)到分散、 分層管理。7.以應(yīng)用系統(tǒng)為基線：權(quán)限管理系統(tǒng)對各應(yīng)用系統(tǒng)的權(quán)限分開管理，以應(yīng)用系統(tǒng) 為基線，在應(yīng)用系統(tǒng)上設(shè)置用戶和權(quán)限。8.參數(shù)配置：通過在各應(yīng)用系統(tǒng)上配置某些參數(shù)

8、， 使靈活I(lǐng)T技術(shù)能快速適應(yīng)應(yīng)用 系統(tǒng)的實(shí)際業(yè)務(wù)。如可以通過參數(shù)設(shè)置是否分配用戶組功能，控制某一應(yīng)用程序的角色是否分配用戶組上。權(quán)限管理系統(tǒng)協(xié)同辦公系統(tǒng)參數(shù)控制-!參數(shù)控制用戶屬于用戶組用戶組用戶組對應(yīng)角色用戶C C用戶迥I JXTCSTS苓菜單權(quán)限權(quán) 限 管 理 系 統(tǒng)用戶對應(yīng)角色功能權(quán)限鶉犧裁鰹L n 疇:1割舷弓數(shù)據(jù)權(quán)限30 世 HE*菜單權(quán)限協(xié)同辦公系統(tǒng)新増功能權(quán)限能犧助牌I n疇4iftift | |數(shù)據(jù)權(quán)限圖表3.2 :權(quán)限管理系統(tǒng)實(shí)現(xiàn)框架2.3認(rèn)證服務(wù)模式由終端用戶向各應(yīng)用系統(tǒng)提交訪問申請，各應(yīng)用系統(tǒng)接收到終端用戶WEB的請求后，將終端用戶的請求重定向到權(quán)限管理系統(tǒng)認(rèn)證， 從而建

9、立起用戶的權(quán)限認(rèn)證的連接， 并由權(quán)限管理系統(tǒng)將認(rèn)證結(jié)果返回給應(yīng)用系統(tǒng)。用戶登錄到各應(yīng)用系統(tǒng)后，根據(jù)用戶的操作相應(yīng)的向權(quán)限管理系統(tǒng)發(fā)出請求權(quán)限認(rèn)證的服務(wù)，由權(quán)限管理系統(tǒng)的WebService接口作出相應(yīng)的響應(yīng)并還回權(quán)限認(rèn)證結(jié)果給應(yīng)用系統(tǒng)。如下圖：人事管理系統(tǒng)I II II II I-用戶對應(yīng)角色 -用戶管理員角色信息門戶系統(tǒng)下級角色6返回權(quán)限列表重定向4終端權(quán)限認(rèn)證3.請求認(rèn)1.訪問應(yīng)4.返回認(rèn)證結(jié)果5請求功能權(quán)限Web服務(wù)圖表2.3 :認(rèn)證服務(wù)模式第3章功能概述權(quán)限管理系統(tǒng)主要包含三層，分別為外部訪問模塊層、內(nèi)部控制模塊層、數(shù)據(jù)儲(chǔ)存 層。外部訪問模塊層主要為外部應(yīng)用程序提供 WebServic

10、e接口，提供應(yīng)用程序的訪問 與用戶認(rèn)證。內(nèi)部控制模塊層主要是處理權(quán)限管理系統(tǒng)的內(nèi)部業(yè)務(wù)邏輯， 并通過數(shù)據(jù)儲(chǔ) 存層持久化數(shù)據(jù)。圖表2.3 :權(quán)限管理功能結(jié)構(gòu)3.1系統(tǒng)用例根據(jù)業(yè)務(wù)的分析可以得出以下用例圖：圖表3.1:權(quán)限管理系統(tǒng)用例圖3.2處理流程權(quán)限管理系統(tǒng)內(nèi)部處理流程如下:應(yīng)用系統(tǒng)配置 兀 獲取菜單項(xiàng)用戶導(dǎo)入管理員角色管理應(yīng)用系統(tǒng)菜單設(shè)置C二權(quán)限分配應(yīng)用系統(tǒng)獲取權(quán)限列表用戶同步接口4:4:導(dǎo)入該系統(tǒng)用戶信息（或手工錄入）7:7:用戶對應(yīng)權(quán)限L6:6:設(shè)置角色權(quán)限TT權(quán)限系統(tǒng)機(jī)構(gòu)代碼 機(jī)構(gòu)名稱 用戶對應(yīng)系統(tǒng)表Relatio nship_10系統(tǒng)對應(yīng)用戶應(yīng)用系統(tǒng)表IDN名稱VA100系統(tǒng)首頁 V

11、A100 系統(tǒng)描述VA1024 控制參數(shù) Relationship_16用戶對應(yīng)的應(yīng)用系統(tǒng)-IDN用戶名密碼名稱VA100唯一標(biāo)識Email用戶對應(yīng)角色d s sX X用戶對應(yīng)角色I(xiàn)D N菜單列表角色對應(yīng)用戶ID菜單ID上級菜單ID 菜單名稱 描述 排序值圖標(biāo) 鏈接文件 路徑操作類型N 角色對應(yīng)權(quán)限權(quán)限對應(yīng)角色菜單對應(yīng)權(quán)限Relationship_18_角色I(xiàn)DN機(jī)構(gòu)代碼 機(jī)構(gòu)名稱菜單對應(yīng)權(quán)限IDN權(quán)限 IDUNDEF：權(quán)限名稱UNDEF：上級權(quán)限ID UNDEF：Relationship_14用戶系統(tǒng)對應(yīng)權(quán)限系統(tǒng)對應(yīng)角色I(xiàn)D N用戶組IDN用戶組代碼 用戶組名稱 角色對應(yīng)系統(tǒng)角色對應(yīng)權(quán)限ID

12、 N本權(quán)限系統(tǒng)默認(rèn)整合了我們已有的KSSO單點(diǎn)登錄產(chǎn)品，KSSO已經(jīng)在多個(gè)項(xiàng)目中得圖表3.11 :概念模型圖第4章整合SSO圖表4.1 :整合SSO圖到了應(yīng)用，具有簡單實(shí)效，快捷安全的特點(diǎn)。 KSSO系統(tǒng)中有一個(gè)Passport服務(wù)器，若 干個(gè)成員系統(tǒng)。成員系統(tǒng)的登錄和檢查登錄狀態(tài)的操作都要通過請求Passport的相應(yīng)接口完成。用戶管理KeyWKeyW齊器 豈系統(tǒng)標(biāo)識幅增0 0愼改0 0 n n 査詢()夕荻取密鑰()解密K K鉀()住/Ke/Key y。取 KeyKey。X.用b用戶名 _MD5MD5管理器制0505加密0 0*Base64()*Base64()*Ba$e64R()*Ba$

13、e64R()3D ES加密解密加裔()解麼()PassPortPassport Server負(fù)責(zé)完成對用戶的認(rèn)證工作,處理用戶名/密碼等憑證 (Ticket)，提供一種靈活但同一的接口 /實(shí)現(xiàn)分離的方式，憑證認(rèn)證方式跟協(xié)議是分 離的，認(rèn)證的實(shí)現(xiàn)細(xì)節(jié)可以由用戶自己定制和擴(kuò)展。Passport Server的應(yīng)用主要有四個(gè)包組成：用戶管理、Key管理、身份驗(yàn)證、URL轉(zhuǎn)發(fā)和Cookie管理。成員系統(tǒng)實(shí)際上是單點(diǎn)登錄的客戶端，當(dāng)有對本地 Web應(yīng)用的受保護(hù)資源的訪問 請求，并且需要對請求方進(jìn)行身份認(rèn)證， Web應(yīng)用不再接受任何的用戶名密碼等類似 的 驗(yàn)證，而是重定向到Passport Server

14、進(jìn)行認(rèn)證。、彳、f用戶管理Key管理身份驗(yàn)證URL轉(zhuǎn)發(fā)和Cookie管理轉(zhuǎn)發(fā)址理轉(zhuǎn)發(fā)0 0寫入 Cookie()Cookie() ?；蛉oog()Coog()目前，KSSO 支持包括 Java、.Net 、Php、Ruby、VBScript 等客戶端， 幾乎可以這樣說。另外本系統(tǒng)也可以整合IBM的ITIM和ITAM二大產(chǎn)品單點(diǎn)登錄系統(tǒng)（SSO）主要功能， 提供用戶集中管理、身份統(tǒng)一認(rèn)證，并實(shí)現(xiàn)用戶的一次性認(rèn)證登錄，可直接訪問各WEB應(yīng)用系統(tǒng)的系統(tǒng)資源。用戶通過單點(diǎn)登錄系統(tǒng)（SSO請求訪問WE腕用系統(tǒng)資源，由單點(diǎn)登錄系統(tǒng)（SSO 進(jìn)行用戶身份統(tǒng)一認(rèn)證。驗(yàn)證合法身份后，單點(diǎn)登錄系統(tǒng)（SSO根據(jù)用

15、戶的請求直接轉(zhuǎn)向到各WEB應(yīng)用系統(tǒng)，再由各應(yīng)用系統(tǒng)根據(jù)用戶相應(yīng)的操作向權(quán)限管理系統(tǒng)提交權(quán)限 認(rèn)證的服務(wù)申請。權(quán)限管理系統(tǒng)依申請由 WebService接口作出相應(yīng)的響應(yīng)并還回權(quán)限 認(rèn)證結(jié)果給各應(yīng)用系統(tǒng)，實(shí)現(xiàn)對用戶權(quán)限的控制。第5章需要強(qiáng)調(diào)的觀念因?yàn)橐紤]通用性，權(quán)限系統(tǒng)能夠?qū)崿F(xiàn)的功能比較有限， 在個(gè)別方面甚至?xí)眍~ 外的一些工作量，你開發(fā)的應(yīng)用系統(tǒng)要不要集成權(quán)限管理系統(tǒng)呢？可以通過以下前三條 來衡量，如果權(quán)限管理系統(tǒng)能帶給你的利益能多于你為集成它而花費(fèi)的成本，那么可以考慮使用。5.1權(quán)限系統(tǒng)能做什么？1）通過集成權(quán)限系統(tǒng)用戶可以不用再去開發(fā)一個(gè)權(quán)限管理的模塊，通常這些模塊都包括用戶管理、權(quán)限

16、管理、角色管理、用戶組管理、菜單管理等。這些 工作可以在應(yīng)用系統(tǒng)中通過單點(diǎn)登錄來訪問。2）通過集成權(quán)限管理系統(tǒng)可以省掉開發(fā)登錄驗(yàn)證和獲取用戶權(quán)限列表、獲取用戶菜單列表的工作，應(yīng)用系統(tǒng)只要調(diào)用權(quán)限管理系統(tǒng)的相應(yīng)服務(wù)（登錄方法） 就能獲取到。5.2權(quán)限管理系統(tǒng)不能做什么1）權(quán)限系統(tǒng)不能幫應(yīng)用系統(tǒng)維護(hù)人員的信息。2）權(quán)限系統(tǒng)不能幫應(yīng)用系統(tǒng)維護(hù)組織機(jī)構(gòu)信息。3）權(quán)限管理系統(tǒng)不能幫應(yīng)用系統(tǒng)控制頁面或功能按鈕的訪問。在權(quán)限管理系統(tǒng)中權(quán)限管理就是：預(yù)定義好樹狀結(jié)構(gòu)的一些名稱和代碼一即權(quán) 限，然后將這些代碼分配給用戶，至于用戶拿到這些代碼后能做什么權(quán)限管理系統(tǒng) 是不關(guān)心的，需要應(yīng)用系統(tǒng)去控制。5.3集成權(quán)限管理系統(tǒng)會(huì)帶來哪些額外的工作？另外集成權(quán)限管理系統(tǒng)可能會(huì)帶來的額外工作量有如下幾點(diǎn)：1）要集成權(quán)限管理系統(tǒng)必須要有WebService調(diào)用組件和XML解析組件。2）要集成權(quán)限管理系統(tǒng)必須要將與用戶相關(guān)的人員信息導(dǎo)入到權(quán)限系統(tǒng)，以后在 應(yīng)用系統(tǒng)中人員信息發(fā)生變化可能會(huì)影響權(quán)限信息時(shí)還必須通過調(diào)用權(quán)限系統(tǒng) 的服務(wù)將相應(yīng)的變化信息同步到權(quán)限系統(tǒng)。5.4權(quán)限并不等于菜單權(quán)限：權(quán)限是指預(yù)定義好樹狀結(jié)構(gòu)的一些名稱和代碼，應(yīng)用系統(tǒng)可以通過這些名稱 和代碼